Tags: Active Directory, Authentifizierung, Identity-Management
Schreibgeschützte DCs sind primär für den Einsatz in Zweigstellen gedacht, die über ein WAN angebunden sind. Sie beschleunigen das Logon der lokalen Benutzer und können Repliken der DNS-Datenbank sowie des Global Catalog vorhalten. RODC unterliegen aber auch einigen Einschränkungen.
Microsoft führte Read-only Domain Controller erstmals in Windows Server 2008 ein. Seitdem hat sich daran praktisch nichts verändert, auch in Server 2016 funktionieren RODC noch genauso wie zuvor. Einzig bei den Management-Tools sind seit Server 2012 PowerShell-Cmdlets hinzugekommen, mit denen sich RODC-Konten vorab im AD eintragen (Staging) und Domänen-Controller installieren lassen.
Kaum kritische Daten auf einem RODC
Der wesentliche Unterschied zu einem vollwertigen DC besteht darin, dass ein RODC nur die eingehende Replikation unterstützt und keine Daten an andere Domänen-Controller überträgt. Darüber hinaus dürfen Anwendungen die Datenbank eines RODC nicht verändern, dieser kann aber Schreibanfragen an einen normalen DC weiterleiten.
Der wesentliche Vorteil einer solchen DC-Installation besteht darin, dass sich damit Domänen-Controller auch in Büros betreiben lassen, wo der physische Zugang zu einem Server nicht abgesichert werden kann. Beim Diebstahl eines Rechners finden sich darauf je nach Konfiguration keine oder nur wenige Zugangsdaten.
Caching von Passwörtern
Standardmäßig speichert ein RODC keine Passwörter. Diese Einstellung hat jedoch den Nachteil, dass sich Benutzer in der Außenstelle nicht anmelden können, wenn die Netzverbindung zum Rechenzentrum unterbrochen ist. Der schreibgeschützte DC benötigt in dieser Konfiguration nämlich den Kontakt zu einem regulären DC, weil er so Benutzer nicht selbst authentifizieren kann.
Um die Zweigniederlassung autarker zu machen, kann ein Read-only Domain-Controller die Anmeldedaten ausgewählter Konten zwischenspeichern. Für diesen Zweck existiert die vorgegebene Gruppe mit den Namen Zulässige RODC-Kennwortreplikationsgruppe, für deren Mitglieder die Passwörter auf dem RODC verbleiben.
Es lassen sich aber beliebige andere Gruppen oder User dafür verwenden. Eine weitere Gruppe namens Abgelehnte RODC-Kennwortreplikationsgruppe dient dem Anliegen, Accounts explizit davon auszuschließen.
Auch Passwörter der Computer-Konten erforderlich
Um auf Nummer sicher zu gehen, dass sich Benutzer bei Ausfall des WANs weiterhin einloggen können, lassen sich Passwörter bereits vorab replizieren ("Prepopulate cached Passwords"). Andernfalls liegt das Kennwort eines Benutzers auf dem RODC erst dann vor, wenn er sich zumindest einmal angemeldet hat. Diese Funktion lässt sich in Active Directory-Benutzer und -Computer (ADUC) in den Eigenschaften des RODC abrufen.
Beim Caching der Passwörter ist zu beachten, dass es nicht reicht, bloß die Anmeldedaten der Benutzerkonten zu replizieren. Benötigt werden auch die Kennwörter der Computer im entfernten Office, damit sich User erfolgreich anmelden können, wenn keine Verbindung zu einem beschreibbaren DC besteht.
Falls ein RODC, der Passwörter zwischenspeichert, entwendet wird, sollte der Administrator die Kennwörter der betroffenen Konten so schnell wie möglich zurücksetzen. Dafür muss er die betroffenen Accounts nicht extra ausfindig machen. Vielmehr bietet Active Directory-Benutzer und -Computer (ADUC) beim Löschen des RODC-Kontos die Möglichkeit zum Password-Reset gleich an.
Delegierung und Wahl der Attribute
Neben den Passwörtern verzichtet ein RODC standardmäßig auch auf die Replikation anderer sensibler Informationen. Dazu gehört eine Reihe von Attributen, die im Filtered Attribute Set (FAS) definiert sind. Dieses lässt sich bei Bedarf nachträglich anpassen.
Ein weiteres Features, das einen RODC für den Einsatz in Außenstellen prädestiniert, ist die Delegierung der Administration an einen Mitarbeiter vor Ort. Das gilt sogar für die Heraufstufung zu einem Domänen-Contoller, wenn zuvor die Domänen-Dienste und ein Computer-Konto für den RODC eingerichtet wurden.
Anpassen des AD-Schemas
Bevor man einen RODC installieren kann, muss man möglicherweise das AD-Schema aktualisieren. Als Funktionsebene setzt er indes nur Server 2003 voraus, so dass diese Bedingung fast überall gegeben sein dürfte.
Generell gilt bei der Installation eines DCs, dass man das Schema aktualisieren muss, wenn dieser auf einer neueren Version des Betriebssystems läuft als die vorhandenen Domänen-Controller.
In diesem Fall muss man unter Umständen explizit
adprep /forestprep
ausführen (installiert man den RODC ohne Staging des Computerkontos über den Wizard im Server Manager, dann entfällt dieser Schritt). Darüber hinaus kann es erforderlich sein, dass man
adprep /rodcprep
ausführen muss, wenn die regulären DCs von Windows Server 2003 auf 2008 (R2) aktualisiert wurden. Ob dies zutrifft, zeigt sich etwa beim Staging des RODC-Kontos im Active Directory-Verwaltungscenter. Dieses gibt eine entsprechende Fehlermeldung aus.
Kompatibilität
Schließlich empfiehlt sich noch, vor dem produktiven Einsatz eines RODC in einer Testumgebung zu prüfen, ob die benötigten Anwendungen mit ihm kompatibel sind. Sie sollten etwa damit zurechtkommen, dass während eines Schreibvorgangs in das AD die Verbindung zu einem regulären DC abbricht.
Microsoft selbst führt eine Liste mit eigenen Programmen und Diensten, die mit einem RDOC zurechtkommen. Diese wurde allerding seit geraumer Zeit nicht mehr aktualisiert.
Täglich Know-how für IT-Pros mit unserem Newsletter
Verwandte Beiträge
- Im Test: AD-Passwörter im Self Service zurücksetzen mit Specops uReset
- ADFS 2.0 - wie Claims-basierte Identität funktioniert
- Microsoft fasst alle Authentifizierungsmethoden des Azure AD in einer Policy zusammen
- ManageEngine ADSelfService Plus: Passwort-Reset als Self-Service, MFA für Active Directory
- Azure AD: Bevorzugte Methode für Multi-Faktor-Authentifizierung festlegen
Weitere Links